漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-035188
漏洞标题:联想安全问题五某重要分站流量很大的XSS(可弹首页和每个页面 10分钟1344条cookie)
相关厂商:联想
漏洞作者: VIP
提交时间:2013-08-24 21:13
修复时间:2013-10-08 21:14
公开时间:2013-10-08 21:14
漏洞类型:xss跨站脚本攻击
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-24: 细节已通知厂商并且等待厂商处理中
2013-08-25: 厂商已经确认,细节仅向厂商公开
2013-09-04: 细节向核心白帽子及相关领域专家公开
2013-09-14: 细节向普通白帽子公开
2013-09-24: 细节向实习白帽子公开
2013-10-08: 细节向公众公开
简要描述:
吓一跳!!!10分钟1344条cookie!!!没有httponly 可以直接在这个分站主页和几乎每个页面打cookies!希望不要是小厂商流程(这个数据还在不断上涨 平均每分钟几十条 XSS不断来 浏览器插件弹不停啊!!!!!
详细说明:
http://ask.lenovomobile.com/
这个分站提问功能 标题处插入xss
瞬间来很多cookie 还是没有httponly!!
可以到这里看最新30条数据
漏洞证明:
太过了 都是没有httponly的 piapiapia一大堆 新cookies弹个不停啊!!!!这些都是没有httponly的 随便选一条都能登录
修复方案:
转义吧 还有 把我那个问题删了 要不然太多了
版权声明:转载请注明来源 VIP@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-08-25 10:07
厂商回复:
感谢VIP同学对联想安全做出的贡献!我们将立即评估与修复相关漏洞
最新状态:
暂无
漏洞评价:
评论
-
牛b
( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)